もうひとつ、大事なことがあると思う。 ― 2006年02月01日 06時51分41秒
Web アプリを開発する場合、これら 3 つの言語を熟知していることが、システムの安全性を高める為にも役に立つのではないでしょうか?
Javascript (などのクライアントサイドスクリプト) によって何ができてしまうのかを知らなければ、サニタイジングの必要性を知ることもできないし、HTML を理解していなければ、サニタイジング時にどの文字をエスケープすればよいのかも分からないでしょう。そして CSS にスクリプトが埋め込まれる可能性を認識していなければ、そこに穴の開いたシステムを作ってしまう可能性も出てきてしまう。
そういう意味では、これら 3 つの言語のほかに、さらに HTTPD の動作の仕組みや URI の仕様なんかも知っておくと、なお良いのではないかとも思うっす。
IE7 の Preview 版が出たよ ― 2006年02月01日 15時23分32秒
ははは。。。 ― 2006年02月02日 23時15分10秒
Purify を使って Coverage も同時に取るという荒業的仕事を遂行中。。。つか、Purify 用にビルドしたオブジェクトって出荷物となるべく同じ状況をシミュレートするために最適化コンパイルかましてるからそれやっちゃうとパス解析で絶対に通らないパスが出てきちゃいそうな気がするんだけどまぁいいや ('A`) 。
んで、今その結果を自前のツール (ただし Coverage の方は他人が作った代物だけど) で集計中なのだが、こいつがなかなか終わらない。。。終電は確か 23:38 発だったような。。。間に合うのか!? (TAT)
結局途中で放り出して帰ってきますた( ゚3゚)~♪。
結局はユースケースが練られていなかったってこと。 ― 2006年02月03日 01時31分35秒
不具合の原因となったプログラムは、2000年5月の売買システム刷新の際に、富士通が開発したもの。「富士通による開発過程において、本事象が発生するような条件に対する考慮が十分にされていなかった」と、富士通にも責任があることを明確にした。その上で、「東証のテストでも本事象を想定しておらず、不具合を発見できなかった」と、東証側の責任も認めた。
こういう機能が欲しい、という類の要望を機能要望というのに対し、こういう動作をされると困る、という類の要望を潜在要望などと言ったりします。
後者は顧客の口からは出ないことが多いのですが (親切に教えてくれることのほうが激しく稀)、機能要望からユースケースを組み立ててゆく作業の中で、おのずと見つかり、形作られてゆくものです。もちろん、このような作業は、開発者側と顧客側 (より正確には、ソフトウェア技術の専門家と、対象となる運用内容の専門家) がお互いに情報を出し合い、協力し合って作るものであり、ユーザーはシステムのことは良く分からないからソフト屋に丸投げ、ソフト屋は運用のことは良く分からないから寄越された要望のリストに書いてあることだけが嘘にならない程度のシステムをでっち上げ、なんてことをやっていれば、今回のような事故はもう枚挙に暇が無いってくらい頻発していてもおかしくないわけですな。
だから両社ともにそれなりに責任は負わなきゃならないってのは、まぁ至極当然っちゃ当然なわけで。
もっともシステム開発請け負ってるのは不治痛なんだからもちっとプロ意識見せてユースケース練って不明瞭な部分の洗い出しを徹底してもよかったんでないの? とか思うわけで。別に東証に責任押し付けるつもりは無いんだろうけど、引き下がるべきところはさくっと引き下がっておかないと、何処も怖くて御社に仕事出せなくなってしまいまっせ。まぁ、その方が社員は監視付きのトイレの便器で真夜中にべそかいたりせずにすんでいいのかもしれんけんども (-_-) 。
徒然 ― 2006年02月03日 19時52分41秒
言いたいことがあるけど言わない。書きたいことがあるけど書かない。この手の生活もあと数ヶ月でオサラバだと分かっていながら、まるで浮かばない体で海底を歩くかのように時の流れは緩慢になり、腹の底から相変わらず湧きあがってくる苛立ちと格闘しながら手を動かしている。視線はうつろ、口は半開き、股下にズボンが食い込んでいるような感じがものすごく気になって椅子の上でジタバタジタバタ、やたらと動作の重たいテストツールに苛立ち、しばらく切っていない髪の毛の邪魔くささに苛立ち、テスト用マシンを導入したために corega の安い CPU 切り替え機を噛まさざるを得ずデジタル接続をあきらめた液晶ディスプレイの画質の悪さに苛立ち、一つ操作をミスっては愚痴をこぼし、一つバグのためにテストが先に進めないことに気付いてはまた愚痴をこぼし、そしてまた一つテスト仕様書の予想結果確認項目に事前に行うべき操作が書かれていた事に後から気付いたために発生した数十分の手戻りの為に「誰だよこのテスト仕様書いた奴ヨォ!」とさすがにちょっとだけ大きな声で悪態をこぼし (やっべ絶対聞かれた 'A`)、そんな自分の、あまりの挙動不振っぷりにやっとのことで気が付き、もっと早くそうしていりゃあ良かったのに周囲を窺いながらひっそりと、かばんの中から 1 錠だけ取り出した頓服を急いで口の中へと運び、仕事を続けるふりをしてマウスを握り締めながら、画面を流れるメモリーエラーの警告の羅列をなんとなーく眺めたりして。夕べは完全に寝不足だった。調子悪くなるのはあたりまえだ。もうね、どうでもいいよ。こんな仕事、失敗しちまえばいいのに。なんて。
産休で入れ替わりの協力会社さんの送歓迎会をやるんだそうだ。おいらも参加する予定だったんだが、体調不良を理由に参加を断った。今、職場にはおいらが知っている人はいない。そしたらなんだか一気に気が楽になって、今こうして、ブログを書いている。だからこの記事は発信ではなく、単なる書き殴りで、晒し者なだけなのだ。
人に頼りにされるのが辛い。おいらが報告した不具合を、おいらの手が空かないことを理由に、その修正確認作業を他の人に分散してお願いしているのだが、仕様を把握できている人間が少ないので、不明瞭な部分をおいらに聞いてくるのだ。ちょっと前までのおいらだったら、そういうのは喜び勇んで説明しに行った。いまやそういうことのために席を立つこと自体が億劫で、しんどい。
会議はもっと辛い。その場に居合わせるのが辛い。自分が何かを報告している間はどっちことないんだけどね。会議という場の中で、手持ち無沙汰にしていると、激しい焦燥感に駆られて視界がうつろになり、早く終わってくれとばかり脳内で念仏を唱えるようになる。こういう辛さを味わうようになったのもここ数ヶ月のことだ。
このままこの手の生活を続けていれば、おいらも多分、やばいことになってしまうのだと思う。早くこの場から立ち去ろう。そして見た目には堕落しても、そして本当に堕落しきったとしても、おいらはしぶとく、無様に生き続けるのだ。
お前の手柄じゃネーヨ ― 2006年02月04日 02時03分53秒
なーにをえらそうに。
Web日記はキライだ ― 2006年02月06日 13時21分09秒
日記ってのは、公言できないことをつらつらと書き殴るものなんだと思う。Webってのは、公言する場所なんだと思う。
Web日記は、公言していることを意識しながら書かなければならない。それを制約と言わずして何というか。
おいらは公言しない文章を書くことに意味を見出せなかった。だからそもそもおいらは日記を書く必要性を感じていなかった。
過去形になっているのは、まぁ、察してくれ。
世の中には、逆に公言していることをちっとも意識していない Web日記が結構ゴロゴロしている。こういうのは読むほうも読むほうで本当に読んじゃっていいものなのか知っちゃっていいものなのか結構どきどきしてしまう。見ちゃいけないものを見てしまっているような気がしてな。。。
つくづく、Web日記は好きになれない。
囲い込み合戦はいつまで続く? ― 2006年02月06日 13時56分29秒
サイト訪問者が Amazon Connect 内の Blog を読む場合、登録が必要だが、同社サイトで書籍の購入歴がある場合は、Blog が自動的に現れる。
作家が既読読者に対してのみしかメッセージを発信できないのだとしたら、それは不幸だし、時間の無駄だ。
つか、そういうのは「付録」というのであって、「ブログ」とは言わんような気がするのだが。
著者の書き込みの例をあげると、今後のイベントに関する情報、推薦図書、執筆についての思い、作家志望者への助言などがある。販促目的の書き込みは、禁じられている。
別に禁じなくてもええやん。作家が母屋で販促すりゃあ、それが売れて儲かるのは母屋のはずやで。囲い込んでる意味がこれで半減やないか、あほらし。
トラックバックを間違えて飛ばしてしまいました。。。こっちの記事のトラックバックは間違いです、スミマセン>徳保さま
ブログサービスは XSS 脆弱性を気にするな! という提言 ― 2006年02月06日 14時21分18秒
さて、任意の JavaScript の使用を許可しているサービスで、はまちやさんのような悪党(脆弱性を見つけたなら静かに通報すればいいものを毎回くだらない騒ぎを起こす愉快犯について私は悪とみなす)が続出してたいへんなことになっているか? なっていないのが実情です。個別に取り締まれば済む話になっている。はてなの XSS 対策は、むしろハッカーの挑戦を呼んでいるだけのようにも見えます。労力をかける方向性が、何か違うのではないか。
「d.hatena.ne.jp 以下のコンテンツでスクリプトの悪用はありません、なぜならはてなが特別に許可したスクリプト以外は使用が制限されているからです」という安心感を売り物にしようとしているのだろうけれど、現状、これはむしろはてなダイアリーの不便さと認識されていると思う。「なんでサイドバーの折り畳みができないの?」という話。いろいろなブログパーツのほとんどが、はてなでは使えない。戦略ミスじゃないのかな。消費者に理解されない安心感、誰もが気付く窮屈さ。
本当に「たいへんなことに」なっていないかどうかは、実はわかってない可能性もあるんだけどね。XSS アタックって普通は気付かれないように仕込むものだし。
だから、こっそり XSS アタックを仕込んでいるユーザーを、はてな親元が見つけ出して、個別に取り締まることができるかどうかは、激しく疑問。はまちやみたいな愉快犯ががんばっているうちはまだ華で、これが蔓延してきちゃうと、(はてなって場所が単なるブログサイトではないだけに) ちょっと困ったことになってしまうかもしれない。
ただ、やり方はともかくとして、「窮屈さを取り除く必要性」という点についてはおいらも激しく同意。実はこの辺の問題は、おいらも個人的にちょっと思うところがあって、実際に Web アプリとしてブログサービスを運営する立場であれば、自分が管理するサーバーはどうとでも扱うことができるわけだからいいんだけど、CMS プログラムを配布する側の立場に立った場合、プログラム側で XSS 脆弱性にあらかじめ手を打っておくべきなのか、あるいは運営者側に対策を任せるべきなのか、という部分で線引きが微妙になってくるような気がするのよね。ドキュメントに注意事項として明記したところで、文句言う人は言ってくるだろうし。。。(←ネガティブすぎる思考)
ちなみに。
不勉強なのでわからないのだけれど、管理画面のドメインを変更するのは難しいのかな……。
技術的には可能。(`・ω・´)つ[バーチャルホスト]
あとはまぁ、「d.hatena-manager.ne.jp」みたいなドメインでも取得してくればいいという話。お金はかかるだろうけどね。
肝心なこと書き忘れてた。。。
現状はてなが新しいドメインを取得したところで、即解決とはならねっす。まずは「管理用のドメインは xxx にしたから、現状 *.hatena.ne.jp で保存されている cookie は各自ブラウザから削除しておいてね!!」というアナウンスを物凄く徹底的にやっておかないといけない。そのための予備期間をある程度設定しておいて、窮屈な機能制限を取っ払うのはその予備期間の後にする、とか。
そもそもこいつで稼ぐ気はあんまりないんだが。 ― 2006年02月06日 15時21分53秒
Google AdSence を導入してから今日までに、すでに 1000PV は超えている。クリック数は 2 。売上は 0.83 米ドル。
正直、頭丸めて、茶碗もって、路上で突っ立っていたほうがよっぽど儲かる。
もちろんこいつで稼ぐ気は今のところ毛頭ないわけだが、これで個人ブログで (それもブログ検索サービスにはことごとく引っかからないような田舎ブログサービスで) ただつらつらと文章を綴っているだけでは金にならないことが良く分かった。
実験は 3 月いっぱいまで続ける予定。それ以降は、まぁ、気分に任せるって感じで。
本気で稼ぐならやっぱりやり方をちゃんと考えないといけないんだろうなぁ。こんなふうに。でもなんか、ここまでやるとなんだかこいつだけに人生 (多くの時間) を委ねてしまいそうで、そこまでするのもなーとか思えてきちゃうのよ。他にやりたいことはいくらでもあるし。
最近のコメント